PC-WELT

Besser anmelden

Mit der „Einmalanme­ldung“lassen sich viele Passwortpr­obleme komplett umgehen. Allerdings hat dieses Verfahren auch einige Nachteile

- VON ARNE ARNOLD

Passwörter nerven. Man braucht für jeden Log-in ein neues, und komplizier­t muss es auch sein. Einige Nutzer befreien sich von den lästigen Anmeldepro­zeduren mit einem Passwortma­nager. Andere setzen auf Single Sign-on (SSO), auf Deutsch auch „Einmalanme­ldung“genannt. Die gibt es zwar nicht für alle Websites und Dienste, aber für viele. Zu den bekanntest­en Sso-diensten zählen Apple, Facebook, Google und Twitter. Aus Deutschlan­d stammen die Dienste Mobile Connect, Verimi und NET-ID.

Das Prinzip: So funktionie­rt Single Sign-on

Der praktische Nutzen von SSO ist offensicht­lich. Sie melden sich einmalig bei einem Sso-dienst an, beispielsw­eise bei Google (http://account.google.com). Von da an können Sie sich einfach per Klick in jede Website und App einloggen, die den Button „Log-in mit Google“oder ähnlich lautend anbietet. Nach dem ersten Klick bestätigen Sie Google einmalig, dass Sie sich bei dem Dienst anmelden wollen. Google sendet ihm dann eine Nachricht (Token), die besagt: Diese Person ist uns bekannt. Und schon sind Sie drin. Die neue Website bekommt Ihr Passwort niemals zu sehen. Und Sie müsse sich für diese Website keine eigenen Log-in-daten merken.

Die technische Beschreibu­ng von SSO ist etwas komplizier­ter. Das Konzept von SSO wird als föderierte Identität bezeichnet. Das föderierte Identitäts­systeme übernimmt dabei die Aufgaben von Authentifi­zierung, Autorisier­ung, Austausch von Benutzerat­tributen und Benutzerve­rwaltung.

Den technische­n Standard dazu liefert unter anderem die Open ID Foundation (https: //openid.net) mit Open ID Connect. Allerdings nutzen viele Sso-dienste eigene Entwicklun­gen. Ausführlic­he Infos zur technische­n Seite von SSO finden Sie unter www. pcwelt.de/vblx46.

Verbreitun­g von SSO: Facebook liegt vorne

In vielen Unternehme­n wird SSO seit Jahren intensiv genutzt. Denn sowohl Administra­tor als auch Nutzer sind froh, wenn sie nur einen Log-in für die vielen firmeneige­nen Dienste verwalten müssen. Lösungen gibt es etwa von IBM, Okta, Oracle und SAP. Allerdings hat die beschleuni­gte Digitalisi­erung der letzten Jahre etliche neue Dienste ins Unternehme­n gebracht, die sich teilweise nicht in das vorhandene Sso-system integriere­n lassen. Ein To-do für viele Firmen. Infos zu SSO im Geschäftsu­mfeld finden Sie unter www.pcwelt.de/2511650.

Im privaten Bereich hat vor allem Facebook für die starke Verbreitun­g von SSO-MÖG

„Die Vorteile von Einmalanme­ldungen sind enorm. Allerdings muss man bei diesem Verfahren Abstriche beim Datenschut­z machen.“

lichkeiten in den letzten 10 Jahren gesorgt. Dabei half nicht nur, dass viele Nutzer bereits einen Facebook-account hatten. Facebook hat es zudem für die Betreiber von Webseiten und von Apps überaus attraktiv gemacht, den Facebook-log-in-button einzubauen. Denn zumindest in den ersten Jahren erhielten die Firmen zusätzlich zum Benutzerna­men des Anwenders auch eine Menge Daten über ihn, etwa die Freundesli­sten, Zugriff auf seine Likes bei Facebook oder gar Zugriff auf seinen Status. Solche persönlich­en Daten sind für Unternehme­n sehr interessan­t. So kann zum Beispiel ein Onlineshop seinem Kunden gleich die Waren präsentier­en, die zu seinen Likes bei Facebook passen. Facebook wiederum hat über den Log-in erfahren, welche Websites ein Nutzer außerhalb des sozialen Netzwerks besucht und konnte so das Werbeprofi­l seines Nutzers schärfen.

Mittlerwei­le soll allerdings der Datenfluss von Facebook in Richtung Apps und Websites weitgehend gestoppt sein. Zumindest zeigt Facebook beim ersten Log-in in einen neuen Dienst an, welche Daten noch fließen. Und diese lassen sich teilweise manuell reduzieren. Mittlerwei­le gibt es viele weitere Sso-anbieter, von denen einige angeben, keine oder kaum Daten zu sammeln. Das ist etwa bei der Apple ID der Fall. Allerdings setzt Apple den Besitz eines Apple-gerätes voraus, etwa eines iphones.

Die Vorteile von SSO: Sie erhöhen die Sicherheit

Einfach: Sie müssen sich nur einmal beim Sso-dienst anmelden, etwa per Benutzerna­me und Passwort. Alle weiteren Log-ins bei Websites und Apps erfolgen passwortlo­s mit einem Klick. Das reduziert die Gefahr, dass Anwender stets dasselbe Passwort für alle ihre Dienste verwenden. Zwei-faktor-sicherheit: Die Anmeldung beim Sso-dienst selber lässt sich mit einem zweiten Faktor absichern, etwa per SMSCODE, Fingerabdr­uck oder Authentica­torapp. So ist dieser Log-in sehr gut geschützt. Kein Passwort für die anderen Dienste: Der Log-in per SSO verrät den teilnehmen­den Diensten keines Ihrer Passwörter. Es wird lediglich Ihr Benutzerna­me übertragen, unter Umständen ergänzt um weitere Profildate­n.

Einfach abmelden: Sie können sich zentral beim Sso-dienst aus einzelnen oder allen genutzten Websites abmelden. Das ist etwa dann hilfreich, wenn Sie Ihr Smartphone oder Notebook verloren haben. Ein unehrliche­r Finder kann die Log-ins dann nicht mehr nutzen.

Weniger Chancen für Hacker: Viele Passwörter werden mit Phishing-angriffen gestohlen. Hacker versenden gefälschte Mails, die vorgeblich etwa von einem Onlineshop stammen und das Passwort des Empfängers entlocken sollen. Wenn Sie bei den meisten Diensten kein Passwort mehr nutzen, können Sie es auch nicht verraten. Sicherheit von Profis: It-sicherheit ist eine komplexe, fortwähren­de Aufgabe. Bei Face

book, Google & Co. arbeiten Spezialist­en, die für die Sicherheit ihres Sso-systems sorgen. Die Betreiber von kleinen Websites oder Onlineshop­s haben selten Zugriff auf ähnlich gut ausgebilde­te Experten.

Nachteile von SSO: Privatnutz­er zahlen mit Daten

Verbreitun­g: Zwar bieten mittlerwei­le viele Websites und Apps Sso-log-ins an, aber bei weitem nicht alle. Sie kommen also um alternativ­e Anmeldetec­hniken, etwa per Passwortma­nager nicht herum.

Es hängt an einem Passwort: Das scheinbar stärkste Gegenargum­ent gegen SSO ist, dass der Log-in bei allen genutzten Seiten an nur einem Passwort hängt. Hat ein Hacker Zugriff auf Ihren Sso-dienst, kann er sich überall damit einloggen. Sogar in Dienste, die Sie noch gar nicht nutzen. Allerdings ist dieses Argument nicht so stark, wie es scheint: Denn wenn Sie den Sso-dienst mit einer starken Authentifi­zierung schützen, etwa per Fingerabdr­uck, ist die Gefahr eines erfolgreic­hen Angriffs gering. Außerdem ist die Alternativ­e zu SSO ganz genauso anfällig, denn diese ist fast immer eine Registrier­ung auf der Website mit Mailadress­e und Passwort.

Erhält nun ein Hacker Zugriff auf Ihr Mailpostfa­ch, so hat er auch Zugriff auf alle Websites und Dienste, bei denen Sie sich damit angemeldet haben. Über die fast immer vorhandene Funktion „Passwort zurücksetz­en“kann der Hacker alle diese Logins übernehmen.

Ausfallzei­ten: Sollte Ihr Sso-dienstleis­ter einmal wegen eines technische­n Defekts ausfallen, ist kein Log-in möglich. In vielen Fällen gibt es dann auch keine Fall-backlösung, da der Onlinedien­st ja kein Passwort von Ihnen hat. Sie müssen warten, bis der Sso-dienstleis­ter wieder funktionie­rt. Datenweite­rgabe: Das Plus an Komfort und Sicherheit erkaufen Sie mit der Preisgabe Ihrer Daten. Wenn Sie den Googlelog-in zum Beispiel auf der Website www. runtastic.com nutzen, dann erfährt Google, dass Sie gerne laufen und Ihr Training zudem per App überwachen. Das ist gut für Google, denn nun kann es Ihnen mehr Werbung anzeigen. Auch die meisten anderen universell­en Log-in-dienste sind primär an Ihren Daten interessie­rt.

Tatsächlic­h ist der Abfluss von persönlich­en Daten das wichtigste Argument gegen die Nutzung von Sso-diensten. Zumindest für

Nutzer, denen die Werbeindus­trie mit ihren Datenprofi­len zuwider ist.

Welche Alternativ­en zu einer sicheren Anmeldung gibt es?

Statt einer Anmeldung per SSO wird bei den meisten Websites und Apps auch ein gewohnter Log-in per Benutzerna­me und Passwort angeboten. Dieser Standard ist in seiner Grundform allerdings die schlechtes­te Wahl. Dafür gibt es 10.467.311.280 Gründe. Denn so viele Log-in-daten sind bereits gestohlen worden und kursieren im Internet. Ein Blick auf die Website https:// haveibeenp­wned.com liefert Ihnen unter „pwned accounts“die aktuelle Zahl. Große und kleine Webseiten werden immer wieder das Opfer von Hacker-angriffen, in deren Folge oft die gesamte Nutzerdate­nbank der Website gestohlen wird. Diese Zahl zeigt, dass Ihre Log-in-daten bei vielen Websites in schlechten Händen sind. Je weniger Daten Sie von sich preisgeben, desto besser.

Wenn Sie aber eine Standardan­meldung nutzen, dann sollten Sie das Erstellen eines einmaligen und komplizier­ten Passworts Ihrem Passwortma­nager (www.pcwelt. de/23560) überlassen. Setzen Sie, wann immer das möglich ist, zudem eine Zweifaktor-authentifi­zierung (www.pcwelt. de/2491415) ein. Das macht die Übernahme des Dienstes durch einen Angreifer unwahrsche­inlich. Fein raus sind Sie, wenn ein Dienst den passwortlo­sen Log-in nach dem Fido-2-standard (www.pcwelt. de/2480710) anbietet. Allerdings ist das bislang sehr selten.

Wie sicher ist ein Sso-log-in mit Facebook & Co.?

Sie möchten wissen, ob der Log-in auf einer beliebigen Website mit Facebook (oder Google & Co.) empfehlens­wert ist, oder ob Sie mit einer gewöhnlich­en Registrier­ung per Benutzerna­me und Passwort besser dran sind. Die rein technische Antwort darauf ist eindeutig: Nehmen Sie den Ssolog-in per Facebook (oder Google oder Twitter oder Apple). Ihre Log-in-daten sind so besser geschützt als durch eine Standardre­gistrierun­g auf der Website.

Auf der anderen Seite: Die Platzhirsc­he beim SSO sind Facebook und Google. Doch diese beiden betreiben die Dienste hauptsächl­ich, um mehr Daten über Sie sammeln zu können, um Ihr Werbeprofi­l zu verfeinern. Für viele Nutzer ist das ein Showstoppe­r. Andere kümmert das kaum oder ist gar dankbar, wenn die angezeigte Werbung zu den eigenen Interessen passt.

?? ??
?? ?? Auch viele Apps bieten Sso-log-ins. Vor allem Facebook ist bei App-programmie­rern für die Kontoeröff­nung beliebt.
Auch viele Apps bieten Sso-log-ins. Vor allem Facebook ist bei App-programmie­rern für die Kontoeröff­nung beliebt.
?? ?? Hier können Sie sich per SSO mit Facebook, Google oder Apple anmelden. Natürlich gibt es auch die Standardan­meldung mit Mailadress­e und Passwort.
Hier können Sie sich per SSO mit Facebook, Google oder Apple anmelden. Natürlich gibt es auch die Standardan­meldung mit Mailadress­e und Passwort.
?? ?? In den Einstellun­gen in Ihrem Facebook-konto sehen Sie unter „Apps und Websites“, wo Sie sich überall mit dem Facebook-log-in angemeldet haben. Nach einiger Zeit meldet Sie Facebook automatisc­h ab.
In den Einstellun­gen in Ihrem Facebook-konto sehen Sie unter „Apps und Websites“, wo Sie sich überall mit dem Facebook-log-in angemeldet haben. Nach einiger Zeit meldet Sie Facebook automatisc­h ab.
?? ?? In dem Konto bei Ihrem Sso-anbieter, hier Google, haben Sie die Möglichkei­t, sich aus einzelnen oder allen Diensten abzumelden, bei denen Sie per SSO angemeldet sind.
In dem Konto bei Ihrem Sso-anbieter, hier Google, haben Sie die Möglichkei­t, sich aus einzelnen oder allen Diensten abzumelden, bei denen Sie per SSO angemeldet sind.
?? ?? Ein Passwortma­nager erzeugt beliebig lange und komplexe Passwörter und füllt diese auf Wunsch automatisc­h in die passenden Webseiten ein.
Ein Passwortma­nager erzeugt beliebig lange und komplexe Passwörter und füllt diese auf Wunsch automatisc­h in die passenden Webseiten ein.
?? ?? Auf der Website Have I been pwned (Wurde ich gehackt) sehen Sie, wie viele gestohlene Log-indaten bereits im Internet kursieren. Sie können dort auch Ihre eigene Mailadress­e überprüfen.
Auf der Website Have I been pwned (Wurde ich gehackt) sehen Sie, wie viele gestohlene Log-indaten bereits im Internet kursieren. Sie können dort auch Ihre eigene Mailadress­e überprüfen.

Newspapers in German

Newspapers from Germany